Se connecter S’abonner

 Hameçonnage : attention à la fraude !

L’hameçonnage, ou « phishing » en anglais, est une partie de pêche, dont vous êtes le poisson. Pour y échapper, il ne faut pas croquer le ver.

Crédit : iStock.

Les escrocs qui partent à la pêche ont de multiples moyens d’obtenir de vous des renseignements qui leur permettront de vous arnaquer : appels téléphoniques, courriels, SMS, faux sites internet, faux comptes Facebook ou WhatsApp. Ils vous font miroiter un téléphone gagné, des billets de spectacles, des bons d’achat, un remboursement d’impôt, ou prétextent un colis bloqué, un problème sur votre compte bancaire, une mise à jour imposée par la loi. Et pour que le ver soit plus facile à avaler, ces messages proviennent souvent en apparence d’institutions qui vous inspirent confiance : fournisseur d’énergie, opérateur de téléphonie mobile, enseigne de distribution, service public (impôts, CAF, douane, direction de la répression des fraudes), banque, transporteur (Chronopost, DHL)… En fait, il s’agit d’un leurre, le seul but de ces manœuvres étant de récupérer certaines de vos données personnelles, essentiellement bancaires, et de pouvoir ainsi prélever sur votre compte de l’argent.

La méfiance est de rigueur

Lorsque vous recevez un message qui vous semble suspect, prenez le temps de la réflexion : un courriel de la brigade des mineurs vous indiquant que vous allez être convoqué dans le cadre d’une enquête, un SMS de Chronopost vous indiquant que votre colis est bloqué et qu’il faut payer pour le recevoir, un courriel de votre banque vous demandant de mettre à jour vos données personnelles…surtout ne cliquez pas sur le lien intégré à ces messages. C’est justement la manipulation qui permettra aux escrocs de voler vos données, voire d’entrer dans votre ordinateur, portable etc. Généralement, ces messages n’ont pas une orthographe irréprochable, ce qui est un indice de plus. Par précaution, téléphonez ou allez sur le site de votre supposé interlocuteur en passant par votre navigateur, pour vérifier que ce message provient bien de lui. Si ce n’est pas le cas, surtout ne répondez pas à cette sollicitation. Il s’agit d’un hameçonnage avéré. Vous pouvez le signaler sur le site internet-signalement.gouv.fr, ou encore en passant par le site service-public.fr ou le site www.signal-spam.fr. Les SMS abusifs peuvent être signalés au numéro 33700.

Vous devez réagir vite si vous êtes victime de prélèvements frauduleux

Si par malheur vous constatez des prélèvements frauduleux sur votre compte en banque (hameçonnage ou pas) vous devez immédiatement prévenir votre banque et faire opposition à votre carte. La loi prévoit que « lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument » sa banque (article L 133-17 du code monétaire et financier).  Cette opposition ne peut pas vous être facturée dans la mesure où elle intervient pour mettre fin à une fraude. Si vous tardez à faire opposition après réception de votre relevé bancaire ou consultation de votre compte sur le site internet de la banque, elle pourra refuser de vous rembourser en invoquant votre négligence, car en ne réagissant pas, vous aurez permis d’autres prélèvements.

Vous pouvez réclamer le remboursement à votre banque

Vous avez ensuite en principe treize mois depuis le prélèvement pour le contester et en demander le remboursement à votre banque (article L 133-24 du code monétaire et financier), soixante-dix jours si l’opération a été réalisée hors de l’espace économique européen (article L 133-1-1 du même code). La banque doit vous rembourser immédiatement le montant de l’opération non autorisée et le cas échéant rétablir le compte débité en l’état où il se serait trouvé si l’opération de paiement n’avait pas eu lieu (article L 133-18 du code monétaire et financier).  Du coup, la banque sera tenue de rembourser aussi les éventuels frais de découvert et d’incidents de paiement (agios, rejet de chèque…) consécutifs à ce paiement (article L 133-20 du même code). Très souvent, elle exige que vous ayez porté plainte. Mais la loi ne l’imposant pas, elle ne peut donc pas conditionner ses remboursements à un dépôt de plainte. Vous avez tout de même intérêt à le faire pour faciliter le traitement de votre dossier et pour aider à la lutte contre la cybercriminalité. Vous pouvez déposer une pré-plainte en ligne sur le site www.service-public.fr (en attendant que le service Thésée de plainte intégrale en ligne soit accessible sur ce même site), ou juste signaler la fraude sur le même site (service en ligne Perceval).

La banque peut vous reprocher d’avoir mordu à l’hameçon

Si vous indiquez ou reconnaissez avoir été victime d’hameçonnage, votre banque pourra refuser de vous rembourser en invoquant le fait que vous avez été imprudent et avez communiqué vous-même votre numéro de carte bancaire. La seule façon d’obtenir gain de cause sera alors de saisir le tribunal judiciaire. Il devra rechercher si la fraude était décelable et si vous auriez pu en avoir conscience. Si la manœuvre comportait « des indices permettant à un utilisateur normalement attentif de douter de sa provenance », votre négligence sera retenue, peu importe que vous soyez avisé ou non des risques d’hameçonnage (Cour de cassation du 28 mars 2018, n°16-20018). Ainsi un particulier qui avait reçu un courriel non personnalisé à 1h39, dont le texte comportait des fautes de syntaxe, ce qui aurait dû l’alerter, et avait mordu à l’hameçon a dû en supporter les conséquences (Cour de cassation du 1 juillet 2020, n°18-21487). A contrario, si vous estimez avoir été victime d’une fraude mais sans hameçonnage (soit qu’il n’y en a pas eu soit que vous n’en avez pas conscience), la banque ne peut pas vous reprocher d’imprudence si le numéro de carte bancaire a été piraté alors qu’elle est toujours en votre possession. La jurisprudence estime en effet que la preuve d’une négligence grave du client ne peut « se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés » (Cour de cassation du 26 juin 2019, n°18-13892), y compris lorsqu’il y a authentification par sms, ce dernier pouvant être détourné (Cour de cassation du 29 mai 2019, n°18-10147). Il revient à la banque de prouver l’hameçonnage et votre négligence, ce qui en pratique est impossible.

En cas de conflit, vous pouvez saisir le médiateur puis le juge

Si vous n’avez pas obtenu satisfaction dans les quinze jours de votre demande auprès de la banque, vous pouvez saisir le médiateur de votre banque, en ligne ou par courrier recommandé (coordonnées sur son site, vos relevés ou sur le site cerclemediateursbancaires.fr). Exposez-lui le différend qui vous oppose en joignant la copie des divers documents qui le concernent. Le médiateur doit vous donner un avis dans un délai de quatre-vingt-dix jours (article R612-5 du code de la consommation). Mais cet avis ne s’impose pas aux parties. Si cela ne met pas un terme au problème, vous n’aurez d’autre choix que de saisir le tribunal judiciaire du lieu où est situé votre banque, siège ou agence (voir encadré). Vous avez pour cela cinq ans et si les sommes réclamées ne dépassent pas 10 000 euros, vous n’êtes pas obligé de faire appel à un avocat.

A savoir >>

  • La directive européenne 2015/2366 du 25 novembre 2015 impose la mise en place d’un système à minima de double authentification (mot de passe + SMS, empreinte digitale + SMS par exemple). Elle est applicable depuis 2021.
  • La banque ne peut pas invoquer une négligence de son client et doit systématiquement le rembourser si elle a autorisé un paiement sans une authentification forte : sms, code, empreinte, etc. (article L 133-19 V du Code monétaire et financier).

Vous pouvez réclamer votre dû en justice

Si les sommes que vous n’avez pas réussi à récupérer malgré l’appel au médiateur ne dépassent pas 5 000 euros, vous pouvez saisir le tribunal en remplissant la déclaration Cerfa n°16042*01 à l’aide de la notice jointe (téléchargeables sur Service-public.fr) et en la déposant ou en l’envoyant (en recommandé de préférence) au tribunal compétent (adresses sur Justice.fr). Au-delà de cette somme totale, vous devrez rédiger et faire délivrer une assignation par un huissier de justice (modèle sur Cnb.avocat.fr). Vous serez ensuite convoqué à une audience où vous pourrez faire valoir vos demandes ainsi que la banque. Vous pouvez opter pour une procédure sans audience si la banque est d’accord : dans ce cas, vous n’aurez pas besoin de vous déplacer et le tribunal tranchera sur le fondement des éléments que vous et l’autre partie lui aurez remis (relevés de compte, courriers de réclamation, avis du médiateur).